El movimiento lateral es una técnica utilizada por los ciberdelincuentes para navegar a través de una red o sistema comprometido, moviéndose sigilosamente de un host a otro. Así, logran pasar desapercibidos y camuflarse durante largos periodos de tiempo para perpetrar actividades maliciosas sin despertar ninguna sospecha. ¿Cómo lo consiguen?
Para acceder, infiltrarse y extender su control dentro de una red, los atacantes buscan un punto de entrada, ya sea a través de vulnerabilidades, ataques de phishing o técnicas de ingeniería social. Una vez dentro, escanean la red para recopilar información crítica e identificar vulnerabilidades y activos de valor (datos confidenciales, de propiedad intelectual, de clientes, registros financieros…). Y también, oportunidades para aumentar sus privilegios y llegar a sistemas, bases de datos o controles administrativos cada vez más críticos.
Su intención es conservar un acceso continuo a la red que les permita lanzar nuevos ataques o seguir extrayendo recursos, incluso en el caso de que los puntos de entrada iniciales hayan sido descubiertos o mitigados. Para ello, establecen puertas traseras, instalan malware persistente o manipulan configuraciones que les permiten evadir las medidas de seguridad.
En los ataques de movimiento lateral, los puntos de entrada más frecuentes son las credenciales débiles o comprometidas, las vulnerabilidades sin parches, las configuraciones de seguridad inadecuadas, las técnicas de ingeniería social y las amenazas internas.
Para poder proteger activos críticos de los ciberintrusos y establecer defensas efectivas, es estratégico que las organizaciones comprendan las técnicas que más se utilizan en este tipo de amenazas, sobre todo, en un contexto como el actual en el que su sofisticación es creciente.
La matriz Mitre establece 9 técnicas de ataque:
- Explotación de servicios remotos para obtener acceso no autorizado a sistemas internos una vez dentro de la red, aprovechando un error de programación, servicio o en el propio software del sistema operativo para ejecutar código controlado por el adversario.
- Spearphishing interno para lograr acceder a información adicional o comprometer a otros usuarios dentro de la organización, comprometiendo inicialmente una cuenta legítima, mediante el control del dispositivo de un usuario o de sus credenciales.
- Transferencia lateral de herramientas o archivos entre sistemas.
- Secuestro de sesión de servicio remoto para moverse lateralmente en un entorno.
- Servicios remotos. Los ciberdelincuentes pueden usar cuentas válidas para iniciar sesión en un servicio que acepte conexiones remotas, como Telnet, SSH y VNC.
- Replicación a través de medios extraíbles, modificando archivos ejecutables almacenados en medios extraíbles o copiando malware y renombrándolo para que parezca un archivo legítimo y engañar así a los usuarios para que lo ejecuten en un sistema independiente.
- Herramientas de implementación de software para ejecutar comandos y desplazarse lateralmente por la red.
- Contenido compartido contaminado, mediante el envío de cargas útiles a sistemas remotos, añadiendo programas maliciosos, scripts o código de explotación a ubicaciones de almacenamiento compartidas, como unidades de red o repositorios de código internos.
- Material de autenticación alternativo como hashes de contraseñas, tickets Kerberos y tokens de acceso a aplicaciones.
